As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Aprovação multilateral para cofres logicamente isolados
<a name="multipartyapproval"></a>



## Visão geral da aprovação multilateral em um cofre logicamente isolado
<a name="multipartyapproval-overview"></a>

AWS Backup oferece a opção de adicionar [aprovação multipartidária](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), uma capacidade de AWS Organizations, aos seus cofres logicamente fechados. A aprovação multilateral fornece uma opção adicional para ajudar a proteger operações críticas por meio de um processo de aprovação distribuído. 

A aprovação multilateral foi projetada para ajudar a proteger recursos essenciais e minimizar o tempo de retorno à operação total, como no caso de uma interrupção causada por agentes maliciosos ou eventos de malware. Essa configuração pode ajudar a restaurar o conteúdo de um cofre logicamente isolado que pode ter sido comprometido.

Não há custo adicional para integrar e usar equipes de aprovação multilateral com os cofres logicamente isolados do AWS Backup (há taxas de armazenamento e transferências entre regiões, conforme indicado na página de [preços](https://aws.amazon.com/backup/pricing)).

Como AWS Backup cliente, você pode usar a aprovação de várias partes para conceder recursos de aprovação de algumas operações a um grupo de pessoas confiáveis que podem aprovar de forma colaborativa o acesso a um cofre logicamente isolado a partir de uma conta de recuperação criada separadamente no caso de suspeita de atividade maliciosa que possa comprometer o uso da conta principal.

As etapas a seguir descrevem o fluxo recomendado para configurar uma organização da AWS de recuperação, configurar a aprovação multilateral e, depois, usar a aprovação multilateral com cofres logicamente isolados:

1. Um administrador [cria uma organização por meio do Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) para ser usada em operações de recuperação.

1. Na conta gerencial dessa nova organização, o administrador cria e configura uma instância do Centro de Identidade do IAM (IDC). Para saber como ativar uma instância da organização, consulte [Ativar o Centro de Identidade do IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) no *Guia do usuário do Centro de Identidade do IAM*. Consulte também a sequência para [Criar uma fonte de identidades de aprovação multilateral](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) no *Guia do usuário da aprovação multilateral*.

1. O administrador então vai [criar uma equipe de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html), o grupo principal de indivíduos confiáveis que serão os usuários principais da aprovação multilateral.

1. O administrador costuma AWS RAM [compartilhar uma equipe de aprovação](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) com cada conta que possui um cofre logicamente isolado e com a conta de recuperação que precisa solicitar acesso a esse cofre.

1. Um administrador da conta proprietária do cofre, logicamente isolado, [associa](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team) o cofre a uma equipe de aprovação.

1. Uma conta de recuperação [solicita acesso](multipartyapproval-tasks-requester.md#create-restore-access-vault) a uma conta que tem um cofre logicamente isolado para uma equipe de aprovação multilateral associada (“equipe”). A equipe associada à conta [aprova ou nega a solicitação](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html).

1. O administrador da conta que possui o cofre logicamente isolado pode solicitar que a [equipe de aprovação seja desassociada do cofre](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team). A solicitação exige a aprovação da equipe atual.

1. Um administrador pode [atualizar a associação à equipe de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html) conforme necessário, de acordo com as práticas de segurança ou quando pessoas entram ou saem da organização.

## Pré-requisitos e práticas recomendadas para usar a aprovação multilateral com um cofre logicamente isolado
<a name="multipartyapproval-prerequisites"></a>

Antes que você possa usar de forma segura e eficaz a aprovação multilateral com seus cofres logicamente isolados, é importante estar ciente dos pré-requisitos e das práticas recomendadas.

**Práticas recomendadas:**
+ Duas (ou mais) AWS organizações por meio de Organizations. Uma delas deve ser sua organização principal, na qual você tem uma ou mais contas que possuam pelo menos um cofre logicamente isolado. A organização secundária deve ser a organização de recuperação. É nessa organização que a equipe de aprovação multilateral será gerenciada.

**Pré-requisitos**

1. [Configurar a aprovação multilateral](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) e ter pelo menos uma equipe de aprovação.

1. Pelo menos uma conta na organização principal deve ter um cofre logicamente isolado (e o cofre de backup original).

1. A conta gerencial na organização principal deve ter aceitado a aprovação multilateral.
**dica**  
AWS Backup recomenda que você aplique uma Política de Controle de Serviços (SCP) à sua organização principal e a configure com as permissões apropriadas para a organização e para cada equipe de aprovação. Consulte um exemplo de política na seção de [Termos da aprovação multilateral](#multipartyapproval-terms).

1. A equipe de aprovação multilateral da organização secundária (de recuperação) é [compartilhada por meio do AWS RAM](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) com as contas que possuem os cofres logicamente isolados e com as contas de recuperação.

## Considerações e dependências entre regiões ao usar a aprovação multilateral
<a name="multipartyapproval-cross-region"></a>

Quando você ativa a aprovação multilateral e a instância do Centro de Identidade do IAM em diferentes regiões, a aprovação multilateral faz chamadas entre regiões para o Centro de Identidade do IAM. Isso significa que as informações do usuário e do grupo se movem entre as regiões. Os recursos da equipe de aprovação multipartidária só podem ser criados e armazenados no Leste Região da AWS dos EUA (Norte da Virgínia).

Além Regiões da AWS disso, os recursos da equipe de aprovação multipartidária dependerão do Leste Região da AWS dos EUA (Norte da Virgínia). Consequentemente, a aprovação de várias partes fará chamadas entre regiões se o cofre and/or logicamente isolado de sua instância do Identity Center não estiver no Leste dos EUA (Norte da Virgínia).

## Termos, conceitos e personas de usuário da aprovação multilateral
<a name="multipartyapproval-terms"></a>

A aprovação multipartidária em seu cofre logicamente isolado é uma integração de AWS Organizations, e AWS Gerenciamento de contas AWS Backup, junto com os recursos AWS Identity and Access Management (IAM) e (RAM). AWS RAM Por meio da CLI, é possível interagir com cada serviço para enviar os comandos apropriados. Você também pode usar o console, mas precisará acessar o console do serviço apropriado para concluir tarefas específicas.

A forma como você interage com a aprovação multipartidária depende de suas funções e responsabilidades em suas organizações, bem como das permissões que você tem em suas AWS Backup contas. 

Conforme mostrado no [Guia do usuário da aprovação multilateral](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), os membros da sua organização que usam essa aprovação serão ***solicitantes***, ***administradores*** ou ***aprovadores***. Permissões específicas se aplicam a cada [função de trabalho](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html). De acordo com as práticas recomendadas de segurança, um usuário deve realizar apenas uma função de trabalho.

 **Consoles, portais e sessões** 

AWS Backup contas com um ou mais cofres logicamente isolados podem usar a aprovação de várias partes.

Antes do processo de aprovação de várias partes, um administrador pode criar AWS Organizations uma organização secundária para fins de recuperação (uma **organização de recuperação**), caso não tenha sido configurada anteriormente.

Em seguida, o administrador utiliza AWS Resource Access Manager (RAM) para configurar o compartilhamento entre organizações entre a organização principal e a organização de recuperação.

A **organização principal** abrange as contas que possuem e usam um cofre logicamente isolado, que armazena os dados protegidos.

A organização de recuperação contém pelo menos uma **conta de recuperação**. Essa conta possui um ponto de acesso que pode servir como um acesso alternativo fundamental para o cofre logicamente isolado compartilhado. Esse ponto de acesso é chamado de **cofre de backup de acesso para restauração**. Esse cofre de acesso não armazena dados; em vez disso, ele serve como um ponto de acesso ou de montagem que espelha o conteúdo do cofre logicamente isolado de origem, mas não contém dados que possam ser alterados ou excluídos. Por exemplo, se um cliente passa pelo processo de restauração de um ponto de recuperação em um cofre de backup de acesso para restauração, é o ponto de recuperação no cofre logicamente isolado que é restaurado por meio da restauração entre contas usando a conta de recuperação.

Para garantir mais segurança, os clientes usam essa conta de recuperação para realizar operações protegidas na conta principal, mas somente após essas operações terem sido aprovadas pela [equipe de aprovação associada em uma sessão de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources). Uma sessão é criada AWS quando uma solicitação de aprovação é enviada, e essa sessão termina quando um limite de membros da equipe de aprovação aprova ou nega a solicitação ou quando o tempo permitido para a sessão tiver passado. 

Uma equipe consiste em **aprovadores** (basicamente, as *partes* envolvidas na aprovação multilateral) que recebem notificações por e-mail sobre solicitações de operação protegidas. Esses e-mails confirmam que uma sessão de aprovação foi iniciada em resposta à solicitação. A aprovação é concedida quando o limite mínimo exigido para aprovação é atingido. Esse limite pode ser definido ao criar a **equipe de aprovação multilateral** (“Equipe”).

As equipes de aprovação multipartidárias são gerenciadas por meio do **portal de aprovação multipartidário** (“portal”) da Organizations, um aplicativo AWS gerenciado que fornece identidades em um local centralizado onde os membros da equipe de aprovação podem receber e responder aos convites da equipe de aprovação e às solicitações de operação.

# Tarefas do administrador
<a name="multipartyapproval-tasks-administrator"></a>

Várias tarefas envolvendo AWS Backup uma visão geral de várias partes exigiam um usuário com permissões de administrador e acesso à conta de gerenciamento.

## Criar uma regra de aprovação
<a name="create-multipartyapproval-team"></a>

Um usuário da sua organização com permissões de administrador para uma AWS conta precisa [configurar a aprovação multipartidária](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) (etapa 3 na [Visão geral](multipartyapproval.md#multipartyapproval-overview)).

Antes de realizar essa etapa, é recomendável que você tenha uma organização primária e uma organização secundária (para fins de recuperação) configuradas por meio do AWS Organizations (etapa 1) da [Visão geral](multipartyapproval.md#multipartyapproval-overview).

Consulte [Criar uma equipe de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) no *Guia do usuário da aprovação multilateral* para criar sua equipe.

Durante a operação [https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html), um dos parâmetros é `policies`. Esta é uma lista de ARNs (Amazon Resource Names) para políticas de recursos de aprovação multipartidária que definem permissões que protegem a equipe.

A política mostrada no exemplo do *Guia do usuário da aprovação multilateral* no procedimento [Criar uma equipe de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) contém a política `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` com várias permissões necessárias. 

Siga estas etapas para exibir uma lista das políticas disponíveis usando `mpa list-policies`:

1. Listar políticas: 

   ```
   aws mpa list-policies --region us-east-1
   ```

1. Listar todas as versões da política: 

   ```
   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
   ```

1. Consultar detalhes sobre uma política: 

   ```
   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
   ```

Expanda o conteúdo abaixo para ver a política que será criada e anexada à sua equipe de aprovação por essa operação:

### Restaurar a política do cofre de acesso
<a name="restoreaccessvaultpolicy"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}
```

------

## Compartilhe uma equipe de aprovação multipartidária usando AWS RAM
<a name="share-multipartyapproval-team-using-ram"></a>

Você pode compartilhar uma equipe de aprovação multipartidária com outras AWS contas usando [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html), etapa 4 na [visão geral](multipartyapproval.md#multipartyapproval-overview).

------
#### [ Console ]

**Compartilhe uma equipe de aprovação multipartidária usando AWS RAM**

1. Faça login no [console do AWS RAM](https://console.aws.amazon.com/ram/home?region=us-east-1).

1. No painel de navegação, escolha **Compartilhamentos de recursos**.

1. Escolha **Criar compartilhamento de recursos**.

1. No campo **Nome**, insira um nome descritivo para o compartilhamento de recursos.

1. Em **Tipo de recurso**, selecione **Equipe de aprovação multilateral** no menu suspenso.

1. Em **Recursos**, selecione a equipe de aprovação que você deseja compartilhar.

1. Em **Diretores**, especifique as AWS contas com as quais você deseja compartilhar a equipe de aprovação.

1. Para compartilhar com AWS contas específicas, selecione **AWS contas** e insira a conta de 12 dígitos. IDs

1. Para compartilhar com uma organização ou unidade organizacional, selecione **Organização** ou **Unidade organizacional** e insira o ID apropriado.

1. (*Opcional*) Em **Tags**, adicione as tags que você deseja associar a esse compartilhamento de recursos.

1. Escolha **Criar compartilhamento de recursos**.

O status do compartilhamento de recursos será exibido inicialmente como `PENDING`. Depois que as contas dos destinatários aceitarem o convite, o status mudará para `ACTIVE`.

------
#### [ CLI ]

Para compartilhar uma equipe de aprovação multipartidária AWS RAM usando a CLI, use os seguintes comandos:

Primeiro, identifique o ARN da equipe de aprovação que você deseja compartilhar:

```
aws mpa list-approval-teams --region us-east-1
```

Crie um compartilhamento de recursos usando o create-resource-share comando:

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```

Para compartilhar com uma organização em vez de contas específicas:

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```

Verifique o status do compartilhamento de recursos:

```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```

As contas dos destinatários precisarão aceitar o convite para o compartilhamento de recursos:

```
aws ram get-resource-share-invitations --region us-east-1
```

Execute na conta do destinatário para aceitar um convite:

```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```

Depois que o convite é aceito, a equipe de aprovação multilateral fica disponível para uso na conta do destinatário.

------

AWS oferece ferramentas para compartilhar o acesso à conta, incluindo [acesso direto [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)e multipartidário](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html). Ao optar por compartilhar um cofre logicamente isolado com outra conta, considere os seguintes detalhes:


| Recurso | AWS RAM compartilhamento baseado | Acesso com base na aprovação multilateral | 
| --- | --- | --- | 
| Acesso a cofres logicamente isolados | Quando o compartilhamento do RAM é concluído, os cofres podem ser acessados. | Qualquer tentativa de acesso por parte de uma conta diferente deve ser aprovada por um número mínimo de membros da equipe de aprovação multilateral. A sessão de aprovação expira automaticamente 24 horas após o início da solicitação. | 
| Remoção de acesso | A conta proprietária do cofre logicamente isolado pode encerrar o compartilhamento baseado no RAM a qualquer momento. | O acesso a um cofre só pode ser removido por meio de uma solicitação à equipe de aprovação multilateral. | 
| Copiar entre contas e and/or regiões | Sem suporte no momento. | Os backups podem ser copiados na mesma conta ou em outras contas na mesma organização da conta de recuperação. | 
| Faturamento por transferência entre regiões |  | As transferências entre regiões são cobradas na mesma conta proprietária do cofre de backup de acesso à restauração. | 
| Uso recomendado | O uso principal é para recuperação de perda de dados e testes de restauração. | O uso principal é para situações em que se suspeita que o acesso ou a segurança da conta tenham sido comprometidos. | 
| Regiões | Disponível em todos os Regiões da AWS lugares onde há suporte para cofres logicamente isolados. | Disponível em todos os Regiões da AWS lugares onde há suporte para cofres logicamente isolados. | 
| Restaura | Todos os tipos de recursos compatíveis podem ser restaurados em uma conta compartilhada. | Todos os tipos de recursos compatíveis podem ser restaurados em uma conta compartilhada. | 
| Configuração | O compartilhamento pode ocorrer assim que a AWS Backup conta configurar o compartilhamento de RAM e a conta receptora aceitar o compartilhamento. | O compartilhamento exige que a conta gerencial primeiro crie uma equipe e, depois, configure o compartilhamento do RAM. Em seguida, a conta gerencial opta pela aprovação multilateral e atribui essa equipe a um cofre logicamente isolado. | 
| Compartilhamento |  O compartilhamento é feito por meio da RAM dentro AWS da mesma organização ou entre AWS organizações. O acesso é concedido de acordo com o modelo “push”, no qual a conta proprietária do cofre logicamente isolado concede acesso. Depois, a outra conta aceita o acesso.  |  O acesso a um cofre logicamente isolado é feito por meio de equipes de aprovação apoiadas pela Organizations dentro da AWS mesma organização ou entre organizações. O acesso é concedido de acordo com o modelo “pull”, em que a conta receptora primeiro solicita o acesso e, depois, a equipe de aprovação concede ou nega a solicitação.  | 

# Tarefas do solicitante
<a name="multipartyapproval-tasks-requester"></a>

## Associe uma equipe de aprovação multipartidária a um cofre logicamente isolado
<a name="associate-multipartyapproval-team"></a>

Solicitante: **usuário com acesso à conta proprietária do cofre logicamente isolado**.

É possível associar uma equipe de aprovação multilateral a um cofre logicamente isolado a fim de permitir a aprovação colaborativa para acesso ao cofre (etapa 5 da [Visão geral](multipartyapproval.md#multipartyapproval-overview)).

------
#### [ Console ]

**Associe uma equipe de aprovação multipartidária a um cofre logicamente isolado**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação à esquerda, acesse a seção **Cofres de backup**.

1. Selecione o cofre de backup logicamente isolado que você deseja associar a uma equipe de MPA.

1. Na página de **detalhes do cofre**, selecione **Atribuir equipe de aprovação**.

1. No menu suspenso, selecione a equipe de aprovação que você deseja associar ao cofre

1. *Opcional* Insira um comentário explicando o motivo da associação.

1. Selecione **Enviar solicitação** para enviar a solicitação de associação.

Se essa for a primeira equipe de aprovação a ser associada ao cofre, a associação será feita. Se o cofre já tiver uma equipe associada, consulte as etapas a serem seguidas em [Atualizar equipe de aprovação multilateral](#update-multpartyapproval-team).

------
#### [ CLI ]

Use o comando `associate-backup-vault-mpa-approval-team` da CLI para definir os parâmetros a seguir:

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Se essa for a primeira equipe de aprovação a ser associada ao cofre, a associação será feita. Se o cofre já tiver uma equipe associada, consulte as etapas a serem seguidas em [Atualizar equipe de aprovação multilateral](#update-multpartyapproval-team).

------

## Solicitar acesso a um cofre logicamente isolado
<a name="create-restore-access-vault"></a>

Solicitante: **usuário com acesso à conta de recuperação**.

É possível solicitar acesso a um cofre logicamente isolado em outra conta (etapa 6 da [Visão geral](multipartyapproval.md#multipartyapproval-overview)).

Depois que uma equipe de aprovação conceder a solicitação, AWS Backup cria um cofre de backup de acesso à restauração em sua conta de recuperação designada para que a conta tenha acesso aos pontos de recuperação no cofre conectado logicamente isolado.

------
#### [ Console ]

**Solicitar acesso a um cofre logicamente isolado**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação à esquerda, acesse a seção **Cofres de backup**

1. Selecione a guia **Cofres acessíveis por MPA**

1. Selecione **Solicitar acesso ao cofre**.

1. Insira o ARN do cofre de backup de origem do cofre logicamente isolado que você deseja acessar.

1. Insira um nome opcional para o cofre de backup de acesso para restauração. Se você não inserir um nome, AWS Backup atribuirá um nome com base no nome do cofre logicamente isolado.

1. Se desejar, insira um comentário do solicitante explicando o motivo da solicitação de acesso.

1. Selecione **Enviar solicitação** para enviar a solicitação de acesso.

Os membros da equipe de aprovação associados ao cofre de origem receberão uma notificação por e-mail para aprovar a solicitação.

Depois que a solicitação for aprovada pelo número exigido (“limite”) de membros da equipe, o cofre de backup de acesso para restauração será criado na conta de recuperação.

------
#### [ CLI ]

Use o comando de CLI de `create-restore-access-backup-vault`:

```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Os membros da equipe de aprovação de MPA associados ao cofre de origem receberão uma notificação para aprovar a solicitação. Depois que a solicitação for aprovada pelo número exigido (“limite”) de membros da equipe, o cofre de backup de acesso para restauração será criado na conta de recuperação.

É possível verificar o status do cofre usando:

```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```

------

## Desassociar a equipe de aprovação multilateral do cofre logicamente isolado
<a name="disassociate-multipartyapproval-team"></a>

Solicitante: **administrador da conta proprietária do cofre logicamente isolado**.

É possível desassociar uma equipe de aprovação multilateral de um cofre logicamente isolado (etapa 7 da [Visão geral](multipartyapproval.md#multipartyapproval-overview)).

------
#### [ Console ]

**Desassocie a equipe de aprovação do cofre logicamente isolado**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação à esquerda, acesse a seção **Cofres de backup**.

1. Selecione o cofre de backup logicamente isolado do qual você deseja desassociar a equipe de aprovação.

1. Na página de **Detalhes do cofre**, selecione **Desassociar equipe de aprovação**.

1. Se desejar, insira um comentário do solicitante explicando o motivo da desassociação.

1. Selecione **Enviar solicitação** para enviar a solicitação de desassociação.

Os membros da equipe de aprovação atual receberão uma notificação para aprovar a solicitação.

Depois de aprovada pelo número exigido de membros, a equipe será desassociada do cofre.

------
#### [ CLI ]

Use o comando de CLI de `disassociate-backup-vault-mpa-approval-team`:

```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Os membros da equipe de aprovação MPA atual receberão uma notificação para aprovar a solicitação. Depois de aprovada pelo número exigido de membros, a equipe será desassociada do cofre.

------

## Revogar cofre de backup de acesso para restauração
<a name="revoke-restore-access-vault"></a>

Solicitante: **administrador da conta proprietária do cofre logicamente isolado**.

É possível revogar o acesso a um cofre de backup de acesso para restauração pela conta do cofre de origem.

------
#### [ Console ]

**Revogar cofre de backup de acesso para restauração**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação à esquerda, acesse a seção **Cofres de backup**.

1. Selecione o cofre de backup logicamente isolado do qual você deseja revogar o acesso.

1. Na página de **Detalhes do cofre**, role para baixo até a seção **Acesso por meio de aprovação multilateral**.

1. Encontre o cofre de backup de acesso para restauração que você deseja revogar e selecione **Solicitar a remoção de acesso ao cofre**.

1. Se desejar, insira um comentário do solicitante explicando o motivo da revogação.

1. Selecione **Enviar solicitação** para enviar a solicitação de revogação.

Os membros da equipe de aprovação receberão uma notificação para aprovar a solicitação.

Depois da aprovação do número exigido de membros da equipe, o cofre de backup de acesso para restauração será excluído da conta de recuperação

------
#### [ CLI ]

Primeiro, liste os cofres de backup de acesso para restauração associados ao cofre de origem:

```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```

Depois, use o comando da CLI `revoke-restore-access-backup-vault`:

```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Os membros da equipe de aprovação receberão uma notificação para aprovar a solicitação. Depois da aprovação do número exigido de membros da equipe, o cofre de backup de acesso para restauração será excluído da conta de recuperação.

------

## Atualize a equipe de aprovação multipartidária associada a um cofre logicamente isolado
<a name="update-multpartyapproval-team"></a>

Solicitante: **administrador da conta proprietária do cofre logicamente isolado**.

É possível atualizara equipe de aprovação multilateral associada a um cofre logicamente isolado (etapa 8 da [Visão geral](multipartyapproval.md#multipartyapproval-overview)).

------
#### [ Console ]

**Atualizar a equipe de aprovação associada a um cofre logicamente isolado**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação à esquerda, acesse a seção **Cofres de backup**.

1. Selecione o cofre de backup logicamente isolado para o qual você deseja atualizar a equipe de aprovação.

1. Na página de detalhes do cofre, selecione **Solicitar alteração da equipe de aprovação**.

1. No menu suspenso, selecione a nova equipe de aprovação que você deseja associar ao cofre.

1. Se desejar, insira um comentário do solicitante explicando o motivo da alteração.

1. Selecione **Enviar solicitação** para enviar a solicitação de alteração.

Os membros da equipe de aprovação atual receberão uma notificação por e-mail para aprovar a solicitação.

Depois de aprovada pelo número necessário de membros da equipe (limite) da equipe de MPA atual, a nova equipe será associada ao cofre.

------
#### [ CLI ]

Use o comando da CLI `associate-backup-vault-mpa-approval-team` com o ARN da nova equipe:

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Os membros da equipe de aprovação atual receberão uma notificação para aprovar a solicitação. Depois de aprovada pelo número necessário de membros da equipe (limite) da equipe atual, a nova equipe de MPA será associada ao cofre.

------

# Tarefas do aprovador
<a name="multipartyapproval-tasks-approver"></a>

Um usuário que é membro de uma equipe de aprovação multilateral pode [aprovar ou negar solicitações](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html) que fazem parte de uma sessão. Outras tarefas incluem:
+ [Responder às operações solicitadas](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [Visualizar uma equipe de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [Visualizar o histórico de operações](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)